CyberArk heeft onlangs een online versie van de open-source White Phoenix ransomware-decryptor uitgebracht. Hiermee wil het bedrijf ransomware-slachtoffers helpen hun bestanden terug te krijgen.
De White Phoenix ransomware-decryptor van CyberArk was al beschikbaar als een Python-project op GitHub, maar het securitybedrijf heeft deze nu ook als een online versie uitgebracht.
Met deze online versie moet het volgens CyberArk eenvoudiger worden voor iedereen om grote bestanden te herstellen. Dit zou nu ook mogelijk moeten zijn voor slachtoffers die minder technisch zijn aangelegd en niet weten hoe zij de code moeten gebruiken.
Tegen intermittent-encryptie
Vooral gaat het hierbij om bestanden die in een ransomware-aanval zijn versleuteld met zogeheten intermittent-encryptie. Hierbij wordt door hackers slechts een deel van alle bestanden versleuteld om het versleutelingsproces te versnellen.
De ransomwarebendes Blackcat/ALPHV, Play, Jilin/Agenda, BianLian, en DarkBit gebruiken deze technologie van intermittent-encryptie. De White Phoenix-tool van CyberArk kan daarom alleen slachtoffers van deze ransomwarebendes helpen.
Werking online White Phoenix-tool
Via deze nieuwe online versie kunnen gebruikers versleutelde bestanden uploaden en vervolgens de ‘recover-knop’ aanklikken. Daarna zorgt de tool ervoor dat zoveel mogelijk bestanden te herstellen zijn, hoewel het even kan duren voordat deze weer beschikbaar zijn.
Concreet probeert de tool de versleuteling geautomatiseerd terug te draaien in plaats van dit handmatig te doen. Hierbij helpt het onder meer tekst uit documenten te herstellen door het samenvoegen van de onversleutelde delen en door het terugzetten van hex-encoding en CMAP-scrambling.
Beperkingen
De tool is wel afhankelijk van het betstandstype en de gebruikte ransomware-variant. Daarom zal het niet altijd even goed werken, geeft CyberArk aan. Zo moeten bepaalde strings in de bestanden leesbaar zijn en afhangen van en bepaald type om de decryptor goed te laten functioneren.
Ondersteunde bestanden zijn onder meer PDF-bestanden, Word- en Excel-bestanden, ZIP-bestanden en PowerPoint-bestanden. De maximale bestandsgrootte voor de online tool is 10 MB. Voor het ontsleutelen van grotere bestanden en VM’s moeten gebruikers uitwijken naar de GitHub-versie.
Ook voor gevoelige data adviseert de securityspecialist de versie van GitHub te gebruiken. Experts moeten dit dan wel lokaal doen en daarbij voorkomen dat de gevoelige informatie naar de servers van CyberArk wordt verstuurd.
23 uur geleden
